Use Cases

Met Baobab MDR accountovernames door identiteitsdiefstal stoppen

Nora Emig
gepubliceerd op
30.06.2026
X min.
geschatte leestijd
Delen op
Inhoudsopgave

Samenvatting: Een directeur voert per ongeluk zijn inloggegevens in op een valse aanmeldpagina. De aanvaller gebruikt deze om vanuit het buitenland in te loggen, leidt ongemerkt factuur-e-mails om en bereidt betalingsfraude voor. Omdat de inloggegevens echt zijn, slaat klassieke beveiligingssoftware geen alarm – de Baobab MDR Service detecteert echter dat de aanmelding onmogelijk echt kan zijn en blokkeert het account voordat er geld wordt overgemaakt.

Voor wie is deze use case relevant?

Dit scenario is relevant voor bedrijven die:

  • hun zakelijke communicatie en facturatie via een cloudplatform zoals Microsoft 365 afhandelen
  • leidinggevenden of teams in thuiswerk of remote werk hebben die zich vanaf verschillende locaties aanmelden
  • geen eigen 24/7-monitoring van hun logins hebben en willen voldoen aan de eisen van een moderne cyberverzekering

Kortom: Elk bedrijf waarvan het betalingsverkeer en de e-mailcommunicatie via een cloudomgeving verloopt.

De aanval in het kort

Een directeur trapt in de hectiek van alledag in een goed opgezette phishing-e-mail en voert zijn inloggegevens in op een valse aanmeldpagina. De aanvaller gebruikt deze echte gegevens om – geautomatiseerd en vanuit het buitenland – heel normaal in te loggen in de mailbox. Voor het cloudplatform ziet dit eruit als een normale, succesvolle login.

Direct daarna stelt de aanvaller een verborgen doorstuurregel in: elke e-mail met termen als "factuur" of "betaling" wordt voortaan automatisch naar een extern adres gestuurd, terwijl waarschuwingen van het systeem worden verwijderd. Vervolgens leest hij eerdere conversaties mee om valse facturen of gewijzigde betalingstermijnen namens de directie naar de boekhouding te sturen.

Aanvalsverloop: Zonder en met Baobab MDR

De aanvaller logt in met geldige inloggegevens. Baobab MDR detecteert de onmogelijke combinatie van locatie en tijd.

Gevolgen van zo'n aanval

  • Financieel: Volgens een analyse van de Anti-Phishing Working Group eisten aanvallers bij dergelijke fraude gemiddeld omgerekend ongeveer 128.980 euro per incident. Bij grotere bedrijven met navenant hoge betalingsvolumes kan de schade aanzienlijk hoger uitvallen – bekende gevallen in Duitsland en de VS bereikten volgens vakrapporten soms een bedrag van tientallen miljoenen, zoals bijvoorbeeld 40 miljoen euro bij auto-onderdelenleverancier Leonie in 2016. Omdat de aanvaller onder een echte, betrouwbare identiteit opereert, wordt de fraude vaak pas weken later opgemerkt – meestal pas wanneer leveranciers herinneringen sturen voor uitblijvende betalingen.
  • Contractuele risico's: Via de meegeluisterde mailbox kunnen documenten zoals raamcontracten met leveranciers, prijs- en conditieafspraken, bankgegevens en betaalgegevens, klantenlijsten of vertrouwelijke documenten over lopende onderhandelingen (bijv. bedrijfsparticipaties of aanbestedingen) weglekken.
  • Reputatie: Als zakenpartners daadwerkelijk een valse betalingsaanvraag of gewijzigde bankgegevens ontvangen namens de directie, schaadt dit de relatie blijvend – ongeacht of de betaling daadwerkelijk plaatsvindt. Daarbij komen mogelijke vervolgkosten voor forensisch onderzoek, juridisch advies en interne verwerking, en in het ergste geval publieke berichtgeving die het vertrouwen van klanten en partners in de IT-beveiliging van het bedrijf als geheel ondermijnt.

Zonder Baobab MDR: Waarom klassieke beveiligingsoplossingen hier blind blijven

Klassieke, op handtekeningen gebaseerde beveiligingsprogramma's werken hier niet, omdat er geen malware in het spel is. Het instellen van een e-mailforwarding of het lezen van oude berichten zijn volkomen normale, toegestane functies van elk cloudplatform. Zonder een controle of het aanmeldgedrag überhaupt plausibel is, blijft de aanvaller onzichtbaar voor het systeem – hij meldt zich immers aan met echte inloggegevens.

Met Baobab MDR: Hoe de aanval wordt gestopt

Baobab MDR vertrouwt er niet op of de inloggegevens correct zijn, maar controleert of het aanmeldgedrag überhaupt plausibel is – 24 uur per dag, wereldwijd.

  1. Detectie: De directeur meldt zich 's ochtends aan vanuit zijn kantoor in Berlijn. Enkele minuten later vindt er nog een succesvolle aanmelding van hetzelfde account plaats – dit keer vanuit de VS. Omdat deze afstand in zo'n korte tijd onmogelijk kan worden afgelegd, slaat het systeem onmiddellijk alarm.
  2. Controle: Een team van analisten beoordeelt het incident 24/7 in de totale context: op de onmogelijke aanmelding volgt binnen enkele seconden de instelling van een e-mailforwarding en massale toegang tot oude facturen – een duidelijk patroon voor een geautomatiseerde accountovername.
  3. Reactie: Het betreffende account wordt onmiddellijk geblokkeerd, alle actieve aanmeldsessies wereldwijd worden beëindigd, de schadelijke doorstuurregel wordt automatisch verwijderd en de toegang voor het aanvallersadres wordt geblokkeerd.

Directe vergelijking

Zonder Baobab MDR Met Baobab MDR
Detectielogica Controleert alleen of de inloggegevens correct zijn Controleert of het inloggedrag daadwerkelijk plausibel is
Detectie Geen waarschuwing, omdat er wordt ingelogd met geldige gegevens Onmogelijke combinatie van locatie en tijdstip wordt gedetecteerd
Reactietijd Fraude wordt vaak pas weken later ontdekt Reactie binnen enkele minuten
Resultaat Facturen worden gemanipuleerd, betaling gaat naar de aanvaller Account wordt geblokkeerd, geen financiële schade

Voordelen van Baobab MDR

  • Beschermt ook bij echte inloggegevens: Detecteert aanvallen waarbij de aanvaller zich heel normaal aanmeldt – een blinde vlek voor klassieke oplossingen en zelfs pure multi-factor authenticatie.
  • Detectie met machinesnelheid: Omdat geautomatiseerde aanvallen binnen enkele seconden plaatsvinden, beschermt alleen een even snelle, geautomatiseerde reactie de cloudomgeving betrouwbaar.
  • Gerichte in plaats van algemene reactie: Alleen het betreffende account wordt geblokkeerd – de overige bedrijfsvoering loopt ongestoord door.
  • Behoud van zakelijke relaties: Omdat de doorsturing wordt verwijderd voordat gemanipuleerde facturen worden verzonden, ontvangen klanten en leveranciers op geen enkel moment valse berichten

Bescherm uw directie en betalingsverkeer tegen onopgemerkte accountovernames. Ontdek in gesprek met onze experts hoe Baobab MDR uw belangrijke communicatiekanalen beveiligt.

FAQ

Wat betekent het als een aanmelding "onmogelijk" is?
Het systeem vergelijkt de locatie en het tijdstip van twee opeenvolgende aanmeldingen van hetzelfde account. Als een gebruiker 's ochtends in Duitsland inlogt en enkele minuten later vanuit de VS, is deze afstand fysiek niet af te leggen binnen die tijd. Dit is een duidelijk teken van een geautomatiseerde aanval met gestolen inloggegevens.

Hoe voorkomt Baobab MDR dat derden ongemerkt e-mails meelezen?
Na een accountovername stellen aanvallers vaak verborgen regels in die e-mails automatisch doorsturen naar een extern adres. Baobab MDR controleert wijzigingen in postbusinstellingen in realtime – elke nieuw aangemaakte doorstuurregel voor gevoelige accounts activeert onmiddellijk een alarm en wordt bij verdenking gestopt.

Is Multi-Factor Authenticatie (MFA) niet voldoende als bescherming?
MFA is een belangrijke basisbeveiliging, maar kan worden omzeild door moderne phishingmethoden waarbij aanvallers een reeds bevestigde aanmeldsessie direct onderscheppen. Baobab MDR pakt dit precies aan: het controleert het gedrag van het account na de aanmelding en stopt de aanvaller zelfs als de MFA-horde al is genomen.

Het blogartikel is geschreven door